Las empresas encuestadas esperan que para este año se produzca un incremento de los ciberataques.
A raíz de la pandemia generada por la COVID-19, los ciberdelitos se han visto incrementados en un 32% solo en 2020, según datos del Centro Criptológico Nacional. De cara a este 2022, el informe Digital Trust Survey, confeccionado por PwC y para el que ha contado con más de 3.500 responsables en ciberseguridad, revela que más del 50% de las empresas encuestadas esperan que para este año se produzca un incremento de los ciberataques superando las cifras de 2021.
Es más, sectores sensibles como el de la aviación ya sufrieron sofisticados ataques que expusieron durante semanas información de los miembros de los programas de fidelización de 39 aerolíneas. El pasado mes de octubre, una gran hotelera sufría un ciberataque de tipo ransomware que afectó a diversos establecimientos del grupo. En 2020, una gran crucerista detectó un ataque que puso en jaque a la compañía.
Aunque todos los sectores se han visto amenazados por los ciberataques, las empresas del sector turístico, debido a su constante transformación digital, así como por el manejo que hacen de datos sensibles de clientes (DNIs, emails, cuentas bancarias, números de teléfono…), se convierten en el blanco de los ciberdelincuentes. Para Pedro Fernández, responsable de Ciberseguridad del Instituto Tecnológico Hotelero (ITH), cada año estos ataques aumentan tanto en el ámbito público como el privado, y preocupa especialmente lo “sofisticados y dañinos” que estos se han vuelto.
Desde el Instituto Nacional de Ciberseguridad de España (Incibe), conscientes de este hecho, han lanzado una guía destinada a microempresas, pymes y autónomos del sector turístico. Su objetivo principal es promover una transformación digital segura y con garantías, tratando para ello aquellos aspectos que son clave en ciberseguridad y que afectan al sector.
Miriam Puente, técnico de Ciberseguridad para Empresas de Incibe, comenta a AGENTTRAVEL que dicha guía está basada “en la caracterización de la ciberseguridad aplicable al sector del turismo considerando su dependencia tecnológica, la categorización de las empresas implicadas y las soluciones más ampliamente utilizadas para prestar sus servicios, así como la identificación del nivel de riesgo al que se encuentran expuestas”.
Incibe: “Un empleado bien formado en ciberseguridad es la primera línea de defensa frente a un ataque”
“El principal vector de ataque es el correo electrónico. La suplantación de identidad, junto con la ingeniería social, son la combinación perfecta para llevar a cabo ciberataques de ransomware y phishing”, afirma la experta en ciberseguridad, destacando los casos de suplantación que se producen sobre los perfiles con capacidad de toma de decisiones en la empresa, que tienen como fin engañar al receptor del mensaje y lograr un beneficio económico de manera fraudulenta.
Los ataques contra la página web, la denegación de servicio, las fugas de información, el uso de redes inalámbricas, el acceso remoto a los sistemas, la administración de perfiles en redes sociales o las relaciones con proveedores tecnológicos, son el resto de amenazas a los que está sometido el sector de los viajes.
¿Pero cómo se puede mejorar la ciberseguridad?
La importancia de estar bien protegido para evitar sufrir ciberataques pasa por sentar unas bases muy claras. Para Puente, la concienciación y la formación son claves. “La dependencia tecnológica no siempre avanza a la par que el conocimiento de la misma y las medidas de seguridad necesarias para evitar los ciberataques”, asevera la técnica del Incibe, que cree que un empleado bien formado en ciberseguridad es la primera línea de defensa frente a un ataque.
“Que sepa identificar las amenazas y cómo actuar en cada caso será de vital importancia a la hora de no comprometer la seguridad de la empresa”, declara la experta.
Francisco Lázaro, gerente de Ciberseguridad y Privacidad de Renfe, coincide a la hora de resaltar la importancia que tiene formar y captar al personal para estar protegido ante los ciberataques.
El aspecto de la formación es también importante para Nuria Lago, Corporate Information Security Director de NH Hotel Group, que explica que es fundamental para la prevención y que invierten mucho en la formación de sus empleados con diversas iniciativas, como ejercicios de seguridad y simulacros de incidentes, para mejorar en esta materia.
Pedro Fernández, del ITH, recalca que otro aspecto importante a la hora de detener estas amenazas es realizar un auditoria con la que evaluar los riesgos potenciales a los que se expone el negocio, analizando los sistemas que la empresa utiliza. En el caso de un hotel, “se deben analizar los sistemas de reservas, PMS y herramientas de gestión de datos, redes, infraestructuras, controles de acceso y equipos informáticos”. Una vez dado este paso, la empresa debe acometer inversiones que supongan la protección de la infraestructura digital y la formación de los empleados.
La aviación es otro de los sectores que más tienen en cuenta la importancia de estar bien protegidos. Desde Iberia, del grupo IAG, Jesús Mérida, Senior Manager de Ciberseguridad de la aerolínea, explica que disponen de “tecnología, procesos y recursos con los que hacer frente a los riesgos tecnológicos en los diversos entornos en los que la actividad de la empresa se desarrolla, como pueden ser los centros de datos, equipos y aplicaciones de usuario y entornos en la nube”.
Del mismo modo, el experto en Ciberseguridad del Instituto Tecnológico Hotelero afirma que las grandes cadenas hoteleras cuentan con personal especializado en este ámbito y con mayores presupuestos de cara a invertir en segurizar el negocio.
Ávoris Corporación Empresarial es otra de las empresas conscientes de la importancia de invertir en ciberseguridad. Gabriel Ramis, director de Sistemas de la compañía, señala que cuentan con diversos sistemas, desde aquellos que tienen la misión de repeler los ataques a nivel de puesto de trabajo (endpoint) como a nivel de infraestructura global.
En lo relativo al desarrollo del software, el alto cargo considera que se intenta ser proactivo construyendo de una forma segura y evitando al máximo tener que repeler con sistemas de protección. “Además de disponer de sistemas de detección es muy importante ser metódicos y estrictos en la actualización y mitigación de todas las vulnerabilidades que se van descubriendo y nos pueden afectar”, asegura Ramis.
Nuria Lago explica a este medio que la seguridad en NH está planteada por capas, estableciendo medidas desde el último eslabón a nivel endpoint, pasando por la parte perimetral e incluso llegando a contemplar mecanismos de seguridad en la parte de la nube. Todos estos engranajes son monitorizados, correlados y gestionados a través de un centro de operaciones de seguridad. La directiva señala que la experiencia de la COVID-19 y el teletrabajo no han tenido un impacto significativo, puesto que antes de la pandemia ya se estaba planteando un sistema mixto de teletrabajo con sus correspondientes sistemas de seguridad.
¿Cómo actuar?
En cuanto a la manera en que una empresa debe actuar ante un ciberataque, Miriam Puente apunta a que es esencial “contar con un plan de contingencia que permita la continuidad de negocio y que las posibles consecuencias se reduzcan de manera considerable”.
Tal y como recomienda la experta del Incibe, el grupo IAG revela que dispone de un CIRP (Cybersecurity Incident Response Plan), un plan con procesos específicos para dar respuesta a este tipo de incidentes, que se mantiene actualizado en base a las tendencias en ataque y herramientas de seguridad.
Dentro de este plan se abarca un conjunto de proyectos de mejora de la ciberseguridad de las aerolíneas y está implementado en cada una de las aerolíneas en base a su alcance y necesidades.
Francisco Lázaro, gerente de Ciberseguridad y Privacidad de Renfe, comenta que la compañía no solo dispone de distintos medios y una organización específica destinada a la ciberseguridad, sino que cuenta con “una estrategia alineada con la estrategia nacional, la cual contempla un proceso de gestión de incidentes desarrollado con normas, procedimientos, prácticas e instrucciones para que sea un proceso pensado y reevaluado y no una actividad puntual”. Además, Renfe participa todos los años en diferentes ciberejercicios nacionales e internacionales de alta exigencia.
Para el directivo, la empresa tiene un gran compromiso en materia de ciberseguridad. “Contamos con medidas organizativas, procedimentales, técnicas y humanas de ciberseguridad, lo cual se materializa a través de un presupuesto específico y una dotación de profesionales, servicios y herramientas encargadas de la prevención, detección, reacción y recuperación para la gestión de incidentes de seguridad”, declara Lázaro.
Incibe: “Estos ataques pueden ocasionar la pérdida de confianza por parte del cliente e incluso afectar a la reputación de la empresa o destino turístico”
Posibles consecuencias
Las consecuencias que pueden producir un incidente de ciberseguridad es otro de los aspectos que resalta la técnica del Incibe. “Estos ataques pueden ocasionar la pérdida de confianza por parte del cliente e incluso afectar a la reputación de la empresa o destino turístico”, declara.
Conscientes de esta problemática, y tratando de evitar las posibles consecuencias que dichos ataques pueden producir sobre sus marcas, el responsable de Ávoris indica que la compañía ofrece “una protección adaptada a la envergadura de la empresa”, de manera que se disponen de sistemas que cubran cada necesidad.
Aun así, Ramis asegura que su sistema de protección está en constante evolución, tratando de “reducir al máximo las posibilidades de tener alguna brecha de seguridad, siendo totalmente conscientes de que evitar al 100% el riesgo no existe, pero con el objetivo de mitigar al máximo ese porcentaje de riesgo”.
Puente afirma que las empresas son cada vez más consientes de los riesgos y de la importancia de actuar, aunque cree que “aún queda camino por recorrer”. Por ello, ante los nuevos escenarios que surgen de la transformación digital, que pasan por la geolocalización, la inteligencia artificial, los pagos inteligentes o el uso de la nube, entre muchos otros, desde Incibe tratan de apoyar al sector con recursos como esta guía.
Otra de las medidas que las empresas están teniendo muy en cuenta es la de contar con un seguro que cubra las consecuencias derivadas de un ciberataque. Mientras que desde Ávoris Corporación Empresarial señalan que, además de un plan de actuación, disponen de una póliza en ciberseguridad, en Renfe indican que “se están dando los pasos administrativos adecuados para complementar y reforzar las medidas de ciberseguridad con un ciberseguro”.
Por último, IAG apunta que dispone de un ciberseguro para dar cobertura a las distintas empresas del grupo, mientras que la hotelera NH Hotel Group cuenta con una póliza de ciberriesgos, que cubre las necesidades de la compañía en caso de que un incidente de seguridad se materializase, y una segunda para aquellos casos que pudiesen derivar de algún posible fraude.
.jpg&width=100&height=100)
